Upload
semeh
View
218
Download
0
Embed Size (px)
Citation preview
7/25/2019 Test Intrusion
1/16
Document Technique
TEST DINTRUSION
Mars 2004
Commission Rseaux et Systmes Ouverts
C L U B D E L A S E C U R IT E D E S S Y S T E M E S D I N F O R M A T I O N F RA N A I S
30, Rue Pierre Semard
Tlphone : 01 53 25 08 80 Fax : 01 53 25 08 88
Mail : [email protected] Web : http://www.clusif.asso.fr
7/25/2019 Test Intrusion
2/16
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Julien AIRAUD ETUDIANT UNIVERSITE DE LIMOGES
Philippe BOUVIER THALES SECURE SOLUTION
Eric CHASSARD CSC - PEAT MARWICK FRANCE
Paul CONSTANT PAUL CONSTANT
Jean-Franois GONEL AGENCE FRANCE PRESSE
Xavier GUILLOT ETUDIANT UNIVERSITE DE LIMOGES
Vincent MARET ERNST & YOUNG AUDITLazaro PEJSACHOWICZ CNAMTS
Paul RICHY FRANCE TELECOM
Herv SCHAUER HSC
Laurence SELIGMANN THALES SYSTEMES AEROPORTES
Tests dintrusion - I - CLUSIF 2004
7/25/2019 Test Intrusion
3/16
TABLE DES MATIERES
1 INTRODUCTION............................................. ........................................................... ........................................... 1
2 OBJECTIFS, AVANTAGES ET LIMITES DES TESTS DINTRUSION........................................................ 2
2.1 OBJECTIFS POUVANT ETRE SATISFAITS PAR DES TESTS DINTRUSION................................................... ............. 22.2 TESTS DE VULNERABILITES ...................................................... ........................................................... ............. 22.3 OBJECTIFS NE POUVANT ETRE SATISFAITS PAR DES TESTS DINTRUSION........................................................ ... 3
3 ACTEURS DUN TEST DINTRUSION............................ ........................................................... ....................... 4
4 DEROULEMENT DUNE MISSION DE TEST DINTRUSION TYPE DEPUIS INTERNET..................... 5
5 MESURES A PRENDRE DU COTE DU DEMANDEUR ........................................................... ....................... 7
6 LE ROLE DES ASSURANCES DANS LE CADRE DES TESTS DINTRUSION......... ............................... 10
7 GLOSSAIRE ..................................................... ........................................................... ......................................... 11
Tests dintrusion - II - CLUSIF 2004
7/25/2019 Test Intrusion
4/16
1 INTRODUCTION
Lobjectif de ce document de synthse relatif aux tests dintrusion des accs Internet, est de fournir
des lments sur lintrt et les limites de cette dmarche dans le cadre dune politique de scurit
en entreprise.La commission regroupant offreurs et utilisateurs a permis dtablir une premire approche de
langage commun autour du service tests dintrusion afin que les attentes des utilisateurs soient
correctement prises en compte par les pratiques des offreurs. Ce document vise aussi mettre en
exergue le niveau de maturit actuel dun test dintrusion dont la dmarche sinscrit pleinement
dans les plans de scurisation tablis par les RSSI.
Le caractre contractuel, mthodique, transparent, et lenvironnement lgislatif dans lesquels se
droulent ces tests dintrusion pratiqus par les vritables professionnels reconnus du domaine, ont
depuis longtemps maintenant, balay limage sulfureuse des tests pratiqus par quelques
bidouilleurs aviss linsu du fonctionnement officiel du SI.
Bien quil existe diffrents types de tests dintrusion, nous nous limiterons volontairement aux tests
permettant une intrusion depuis Internet.
Tests dintrusion - 1 - CLUSIF 2004
7/25/2019 Test Intrusion
5/16
2 OBJECTIFS, AVANTAGES ET LIMITES DES TESTSDINTRUSION
Les principes de ralisation des tests d'intrusion prsentent, par rapport d'autres mthodes
d'analyse de la scurit, des avantages, mais aussi des limites. Il convient donc de bien mesurer ces
insuffisances, et de les mettre en perspective avec les objectifs que lon veut atteindre.
2.1 Objectifs pouvant tre satisfaits par des tests dintrusion
2.1.1 Mettre l'preuve la scurit d'un environnement et qualifier sa rsistance un certain
niveau dattaque.
Les tests d'intrusion peuvent en effet tre compars certaines mthodes de qualification du monde
industriel (rsistance de coffre-forts, endurance de moteurs d'avions) o l'on vrifie que le
mcanisme test rsiste pendant un certain temps des attaques ou des agressions dun niveau
dfini. Dans le cas des tests d'intrusion, le rsultat se rduit savoir si l'environnement test a
rsist aux attaques pendant le laps de temps imparti (en gnral quelques jours). Si tel est le cas,
alors on peut supposer que la plupart des attaquants n'iront pas aussi loin.
Cette approche a lavantage de permettre de tirer des enseignements d'un test qui choue, c'est--
dire pour lesquels aucune intrusion na pu tre ralise dans le laps de temps imparti. On peut donc
supposer que la scurit existante est adapte au niveau de risque accept. Il convient de dfinir trs
prcisment, avant le test, la dure du test et ce qui sera considr comme une intrusion afin de
pouvoir tirer prcisment des enseignements en matire de rsistance lintrusion.
2.1.2 Sensibiliser les acteurs (management, informaticiens, utilisateurs) au sein de lentreprise.
Les tests d'intrusions sont particulirement efficaces pour sensibiliser les acteurs. En effet, par
rapport des mthodes d'analyse de la scurit comme l'audit, le test d'intrusion, s'il "russit",
permet de disposer d'arguments de poids pour inciter les acteurs prendre conscience des risques. Il
peut mme tre envisag de rcolter des preuves pour convaincre les plus rcalcitrants. Les tests
d'intrusion permettent galement d'illustrer les problmes de scurit issus des interactions
complexes et non prvues, interactions qui sont parfois difficiles apprhender lors daudits de
scurit se focalisant sur des points de contrle atomiques .
Toutefois, il faut considrer le risque que les tests d'intrusion n'aboutissent pas des rsultats
concluants. Dans ce cas l, le pouvoir de sensibilisation des acteurs devient inexistant. Au contraire,
certains peuvent croire, la robustesse du systme.
2.2 Tests de vulnrabilits
Un test de vulnrabilits est un test d'identification de failles connues. Le rsultat du test de
vulnrabilits est un tableau synthtique, avec pour chaque faille, la liste des machines ou
quipements qui semblent vulnrables. Un test d'intrusion commence par une phase de recherche de
vulnrabilits. Celle-ci ne donne gnralement pas lieu la dlivrance d'un tableau desvulnrabilits, car elle sert d'entre pour les phases suivantes du test d'intrusion. Lors d'un test
d'intrusion, l'quipe de test va tenter de mettre en oeuvre les vulnrabilits trouves, utiliser les
Tests dintrusion - 2 - CLUSIF 2004
7/25/2019 Test Intrusion
6/16
inter-dpendances entre ces vulnrabilits, et essayer d'aller plus loin. Ce n'est pas le cas lors d'un
test de vulnrabilits. Le test de vulnrabilits est ralisable de manire automatique, et propos en
mode ASP par certains fournisseurs. Il est court et peu coteux, donc peut tre ralis avec une
frquence plus importante que les tests d'intrusion.
Enfin, le test d'intrusion ralis par une quipe permettra de dtecter des vulnrabilits qu'un test de
vulnrabilit ne verra pas.
2.3 Objectifs ne pouvant tre satisfaits par des tests dintrusion
2.3.1 Avoir l'assurance qu'un environnement informatique est scuris.
Un test dintrusion ne peut constituer la preuve de la scurit dun environnement. Si aucune
vulnrabilit significative n'est mise en vidence lors des tests, il est impossible de conclure que
l'environnement test est scuris. En effet, on ne peut exclure que les testeurs n'aient pas identifi
certaines vulnrabilits existantes, par manque de connaissance ou de moyens, ou parce que ces
vulnrabilits ne peuvent pas tre mises en vidence directement dans les conditions des tests
dintrusion. On ne peut pas non plus exclure que, dans le futur, des vulnrabilits apparaissent au
sein des briques logicielles constituant l'environnement ou que son paramtrage de scurit soit
modifi.
Pour obtenir un niveau d'assurance suffisant sur la scurit d'un environnement informatique, il est
plus lgitime de raliser un audit de scurit, qui prend notamment en compte les aspects
procduraux et organisationnels, en plus des questions techniques.
2.3.2 Identifier exhaustivement les vulnrabilits de scurit d'un environnement.
Comme les autres mthodes, un test dintrusion ne permet pas dtre certain que toutes les
vulnrabilits existantes au sein dun environnement seront identifies. Une fois une vulnrabilit
identifie sur un systme et utilise pour en prendre le contrle, une personne ralisant un test
dintrusion aura tendance soccuper dun autre systme, sans tenter didentifier dautres
vulnrabilits sur le systme dont elle vient de prendre le contrle. Or il est tout fait possible que
plusieurs vulnrabilits de scurit existent sur ce systme. Par ailleurs, un test dintrusion ne
permet en gnral pas de dtecter dventuelles vulnrabilits dans les couches de protection au del
de la premire couche prsentant un niveau de scurit suffisant.
Il faut galement noter que des tests d'intrusion ne permettent pas d'identifier directement les
faiblesses de scurit d'ordre organisationnel et procdural, et se limitent aux faiblesses techniques.
Tests dintrusion - 3 - CLUSIF 2004
7/25/2019 Test Intrusion
7/16
3 ACTEURS DUN TEST DINTRUSION
On peut considrer quil y a deux grandes catgories dacteurs :
Les acteurs internes : lentreprise souhaitant effectuer ce test.
Les acteurs externes : le prestataire de service proposant cette prestation, les fournisseurs
daccs, les hbergeurs. Ce prestataire pourrait tre interne lentreprise sil dispose des
comptences et dune indpendance suffisante.
A priori, tous les acteurs internes lentreprise sont concerns par le test dintrusion, ce nest pas
le seul problme du RSSI ! . Afin de limiter au maximum les risques de perturbations
oprationnelles, des prcautions d'organisation sont prendre vis vis des intervenants lors du
droulement du test. Un des objectifs tant la sensibilisation du management et des utilisateurs,
aussi bien aux attaques venant de lextrieur que de lintrieur de lentreprise, le test dintrusion doit
faire lobjet a posteriori dune large communication en interne. Cette communication doit tre
cible et, bien sr, porter un message de scurit sans pour autant informer sur les vulnrabilits non
traites..
Dans un cadre plus technique, la direction informatique dans son ensemble est concerne par ces
tests ainsi que les filiales et/ou les socits rattaches dans le cas de rseaux WAN ou dintranet,
perspective qui peut tre tendue aux clients de lentreprise dans le cadre dun extranet
Les principaux acteurs externes lentreprise sont :
les socits de service proposant ce type de prestation. Lentreprise doit rechercher
des acteurs fiables et professionnels. Ces acteurs externes doivent attacher un intrt tout
particulier la confidentialit de leur acte et surtout rassurer lentreprise dsireuse de
raliser ce test qui pourrait les percevoir comme des pirates . Ils se doivent galement
doffrir toutes les garanties ncessaires lentreprise ; les spcialistes de ces socits sont
recenser individuellement avec leurs comptences spcifiques.
le propritaire ou le responsable lgal de la structure concerne par ce test dintrusion dans
le cas o lentreprise aurait externalis ses serveurs. Dans un tel cas, il convient de prvoir la
possibilit de ce type de test ds le dpart dans le contrat dexternalisation. Si la structure estmutualise ou non visible directement, par exemple dans le cas dun serveur partag entre
plusieurs entreprises, le test dintrusion ne peut tre envisag de par cette structure
particulire.
Lentreprise, le prestataire de service et lventuel hbergeur doivent analyser avec une attention
toute particulire, le contexte organisationnel autour du systme dinformation objet du contrat des
tests dintrusion ; en particulier, les engagements doivent correspondre au primtre rel de
responsabilit des acteurs engags.
Tests dintrusion - 4 - CLUSIF 2004
7/25/2019 Test Intrusion
8/16
4 DEROULEMENT DUNE MISSION DE TESTDINTRUSION TYPE DEPUIS INTERNET
Lobjectif dune telle mission est dvaluer le risque quune personne malveillante puisse
sintroduire dans le rseau informatique interne de lentreprise (le demandeur) via son rseau
dinterconnexion Internet.
Une mission de ce genre est gnralement ralise par le prestataire depuis un environnement ddi,
comme par exemple un laboratoire de tests dintrusion.
Ce type de mission peut dbuter sans information pralable provenant du demandeur. De manire
gnrale, le droulement dune mission de test dintrusion de type en aveugle ou zero
knowledge depuis Internet comporte trois phases principales :
4.1 Phase 1 : Dcouvertes initiales
Lobjectif de cette phase est de rechercher des informations significatives permettant de dcouvrir
puis valider le primtre de lintrusion.
Dans un premier temps, le prestataire sattache cerner la connectivit Internet du
demandeur. Afin de mener bien cette recherche, il consulte diverses bases de donnes publiques
sur Internet (notamment les enregistrements Whois) pour identifier les plans de nommage,
dadressage et le ou les fournisseurs daccs utiliss par lentreprise. Il vrifie par ailleurs
lappartenance des adresses IP concernes par le test dintrusion. Il complte sa recherche via de
nombreuses sources de donnes publiques, sites Web du demandeur, les forums, les serveurs de
news, etc. Ces renseignements fournissent ventuellement des informations complmentaires sur les
lments rseaux et logiciels qui sont dtenus par lentreprise.
Le rsultat de cette phase permet didentifier la prsence de lentreprise perue depuis
Internet. Il est recommand de faire valider par le demandeur ces informations afin de poursuivre
cette phase dexploration. Cette validation, permet dengager le demandeur (face au contrat) et
dinformer le prestataire qui est ainsi certain que les lments quil va tester par la suite sont bien
des lments appartenant au demandeur et sont bien inclus dans la couverture du contrat.
Puis le prestataire passe lidentification de la topologie du rseau de lentreprise vue
depuis Internet. Pour cela, il identifie les machines accessibles partir dInternet laide doutilsfaiblement intrusifs (type DNS et reverse DNS, transfert de zone, traceroute, ping, etc.). Ensuite il
dtermine les caractristiques et les rles de ces machines afin de comprendre la topologie du
rseau dinterconnexion Internet. Il aura ainsi une reprsentation graphique de cette topologie du
rseau et des lments cibles qui sont identifiables depuis Internet.
A la fin de cette phase il est recommand que le prestataire communique au demandeur les
rsultats de sa dcouverte du rseau (schma de la topologie du rseau vu dInternet). Le demandeur
valide ensuite le primtre couvrir par le prestataire en Phase 2.
Tests dintrusion - 5 - CLUSIF 2004
7/25/2019 Test Intrusion
9/16
4.2 Phase 2 : Recherche dinformations et de vulnrabilits
Lobjectif de cette phase est de rechercher des vulnrabilits potentielles sur les machines
identifies dans le primtre de la phase 1.
Pour chacune des machines prsentes dans la topologie de raccordement Internet, le
prestataire complte sa recherche par des techniques plus intrusives qui permettent didentifierlensemble des services actifs sur ces lments, danalyser les configurations des lments, etc.
Le rsultat de cette recherche permet de mettre en vidence un certain nombre de
vulnrabilits potentielles qui pourraient exister sur les machines cibles et qui pourraient tre
exploites pour sy introduire : version ou correctif non jour, configuration incomplte, etc.
Etape de validation : lorsque le prestataire dcouvre une vulnrabilit majeure pouvant
porter atteinte la disponibilit ou lintgrit des donnes de lentreprise, nous recommandons
quil en fasse part celle-ci. Sans un accord formel de cette dernire, le prestataire ne doit pas
exploiter ce type de vulnrabilit.
4.3 Phase 3 : Exploitation des vulnrabilits et intrusion
Lobjectif de cette phase est dexploiter les vulnrabilits identifies lors de la phase 2, dans le but
de sintroduire sur les machines de lentreprise partir de laccs Internet.
Cette phase est la plus technique. En effet, le prestataire teste et tente dexploiter les
vulnrabilits mises en vidence lors de la phase prcdente. Dans le cas dune intrusion logique sur
un serveur, il doit prouver lintrusion :
En fournissant au demandeur des informations confidentielles sur le Systme dInformation,
en accord avec les objectifs et les obligations contractuelles.
En dmontrant quil a pu crire ou modifier des donnes, par le dpt dun fichier particulier
par exemple.
Cette phase naboutit pas automatiquement la prise de contrle total dun ou de plusieurs
lments du systme dinformation. En effet, le prestataire peut simplement obtenir des privilges
lui permettant de rebondir et de poursuivre lintrusion vers le rseau interne condition de ne pas
sortir du primtre dfini contractuellement en reproduisant le schma utilis depuis Internet :
processus danalyse du nouvel environnement, dnumration puis dexploitation des vulnrabilits,
etc.
Tests dintrusion - 6 - CLUSIF 2004
7/25/2019 Test Intrusion
10/16
5 MESURES A PRENDRE DU COTE DU DEMANDEUR
Il est recommand que le demandeur prenne en compte certaines bonnes pratiques qui permettent de
sassurer de la meilleure adquation des rsultats de la mission avec les objectifs de lentreprise.
Ces mesures ont notamment pour objectifs : Danalyser lexprience professionnelle du prestataire.
De sassurer de la qualit du droulement et du rsultat de la prestation.
Dobtenir une bonne intgration des rsultats avec les objectifs de lentreprise.
Exemples des mesures prendre avant de lancer une mission de ce type :
Dfinir lobjectif et les conditions de validation de lobjectif.
Nommer un unique coordinateur interne afin dassurer la relation avec le prestataire. Ce
coordinateur peut tre accompagn par des personnes de diffrentes comptencestechniques.
Dfinir un coordinateur chez le prestataire afin de navoir quune seule personne contacter
en cas de ncessit (changer les numros de portable).
Informer les acteurs internes de lentreprise que des tests dintrusion sont parfois raliss au
cours de lanne.
Exiger un contrat sign avec le prestataire en incluant ventuellement la couverture des
risques par une socit dassurance.
Exiger un contrat sign entre le prestataire et les ventuels hbergeurs concerns par lestests, en incluant ventuellement la couverture des risques par une socit dassurance.
Demander au prestataire de communiquer par crit la liste des adresses rseaux IP sources
qui seront utilises lors des tests dintrusion. La communication des adresses IP sources doit
tre perue comme un moyen pour le demandeur de faire la diffrence entre le test
dintrusion et les possibles relles intrusions.
Communiquer au prestataire par crit la liste des adresses rseaux IP incluses dans le
primtre de la mission. Cette communication peut tre ralise tout au long de la mission
en fonction des lments dcouverts par le prestataire. Par dfaut, il faut convenir avec le
prestataire quaucune adresse rseau ne peut tre la cible dun test sans accord formalispralable.
Eventuellement, inclure dans le contrat la destruction par le prestataire de lensemble des
informations recueillies dans le cadre de la mission. Notons que dans ce cas, le prestataire
pourra demander au demandeur de signer un Procs Verbal de fin de prestation dcrivant la
taille du rapport remis, les taches qui ont t effectues par le prestataire, le nom des
personnes ayant ralis la prestation et la dure de la prestation.
Faire valider le contrat reu du prestataire par le service juridique.
Recommander aux techniciens de ne pas modifier la configuration des lments du SI
pendant les tests : dune part cela fausse les rsultats et dautres part des modificationsralises sans suivre les procdures internes peuvent gnrer des dysfonctionnements dans le
SI.
Tests dintrusion - 7 - CLUSIF 2004
7/25/2019 Test Intrusion
11/16
Convenir avec le prestataire dun moyen dchange scuris des informations au cours de la
mission.
Exemples des mesures prendre pour sassurer de la comptence professionnelle du prestataire :
Demander si le prestataire possde un Code dEthique formalis et respect.
Demander la typologie des attaques qui seront ralises et la liste des outils potentiellement
utiliss.
Demander une liste de rfrences de mission prcdentes dans le domaine des tests
dintrusion.
Demander les CV des intervenants ainsi que leur rle dans la mission et le temps quils y
passeront.
Demander les moyens dont dispose le prestataire. Par exemple dans le cas dun laboratoire
de tests dintrusion, visiter ventuellement ce laboratoire.
Faire prciser au prestataire la manire dont sera gre la confidentialit des rsultats tout au
long de la mission et aprs la fin de la mission.
Exemples de mesures prendre pour cadrer la mission :
Dfinir les moyens auxquels le prestataire peut recourir.
Dfinir une date de dbut et de fin de la prestation.
Dfinir les tapes intermdiaires de validation des diffrentes phases de la prestation afin de
bien matriser le droulement de la prestation.
Prciser le respect de certaines dates et plages horaires lors des actions du prestataire suivant
la charge de certaines ressources du SI.
Assurer la traabilit (journalisation) des actions du prestataire en sassurant que le
prestataire fournira des enregistrements horodats de lensemble des actions quil a menes.
Exemples de mesures prendre pour prciser la rdaction du rapport :
Dfinir le contenu du rapport : par exemple la synthse doit tre comprhensible par la
Direction Gnrale, les descriptions techniques sont reportes en annexe, le corps du rapport
doit rappeler lensemble des vulnrabilit classes par niveau de risque, etc.
Dfinir le niveau de granularit de description des tests en prcisant notamment la mthode
utilise, le rsultat obtenu, les risques ventuels et les recommandations apporter.
Exiger une qualit de la rdaction en franais (ou en anglais) si la diffusion du rapport final
concerne des personnes non techniques.
Demander au prestataire de complter ventuellement les rapports de pr-validation
(change de fichiers non modifiables pdf, etc.) afin dexpliquer certaines parties puis valider
le rapport final du prestataire.
Tests dintrusion - 8 - CLUSIF 2004
7/25/2019 Test Intrusion
12/16
Exemples de mesures prendre pour valoriser les rsultats de la mission :
Analyser les conclusions du rapport et rvaluer les risques en fonction des risques rels de
lentreprise : par exemple pour dclarer quun accs des donnes doit tre class critique
pour lentreprise il faut par avance avoir ralis une classification des donnes accdes et
avoir dfini un propritaire des donnes afin de lavertir.
Demander au prestataire de fournir un tableau de bord des rsultats des tests si ces tests
couvrent de nombreux points daccs dans le SI.
Mettre jour le tableau de bord de scurit du RSSI.
Communiquer ventuellement le rapport final au dpartement daudit interne
Prvoir une (ou plusieurs) runion de prsentation des rsultats par le prestataire : une
runion de synthse pour la Direction et une runion plus technique pour le personnel
oprationnel.
Les rapports de pr-validation et final doivent tre classifis "Confidentiel".
Dfinir et formaliser au sein du rapport final, la liste des destinataires du rapport.
Tests dintrusion - 9 - CLUSIF 2004
7/25/2019 Test Intrusion
13/16
6 LE ROLE DES ASSURANCES DANS LE CADRE DESTESTS DINTRUSION
Comme toute intervention externe sur un systme dinformation, la ralisation des tests dintrusion
peut avoir des consquences non prvues sur lintgrit, la disponibilit et mme la confidentialit
du systme et des informations qui y sont gres.
En principe, on pourrait penser que les incidents pouvant survenir dans ce cadre sont couverts soit
par les assurances normales de lentreprise propritaire du SI soit par lassurance responsabilit
civile du prestataire ralisant les tests (dont il convient de vrifier lexistence et le plafond).
Pourtant, dans de nombreuses situations ce raisonnement peut se rvler inexact.
Ainsi, les assurances couvrent normalement des accidents de nature fortuite or, peut on considrer
que sont fortuits des incidents comme :
- indisponibilit du Web suite une saturation du point dentre rseaux consquent unbouclage du logiciel de test
- indisponibilit du rseau suite une reconfiguration sauvage et involontaire de certains de
ses lments
- divulgation dune information confidentielle accde involontairement par le prestataire dans le
cadre des tests
Le fait que tous ces incidents arrivent dans le cadre des actions autorises et voulues par le
propritaire du SI, peuvent induire la compagnie dassurance refuser la couverture du sinistre.
Certes, les assurances (mesures de rcupration selon la mthode Mehari du Clusif)ninterviennent quen dernire instance, aprs toutes les mesures prises par les excutants des tests
pour prvenir ce type dincident, en sinterdisant par exemple des actions dangereuses pour le SI.
Lexistence de ces risques doit toutefois tre prise en compte : ds lors que ces incidents peuvent
produire des sinistres fort impact pour lentreprise, cette dernire doit sassurer dune couverture
en terme dassurance.
Si au niveau dune entreprise, aprs avoir analys les mesures de prvention (celles qui prviennent
lincident) et de protection (celles qui lempchent de devenir grave) on peut dcider de courir le
risque en considrant suffisante la responsabilit civile du prestataire, le cas des hbergements
de sites Web est plus complexe.
En effet, les hbergeurs doivent non seulement prendre en compte les dommages pouvant tre
produits par un incident lors des tests dintrusion, mais les ventuels ddommagements pouvant tre
demands par les clients hbergs, autres que ceux ayant demand le test.
En particulier, les tests dintrusion faits vers des machines abritant plus dun client peuvent
conduire lhbergeur tre dans limpossibilit dautoriser ce type de test pour un seul client. Mais,
mme si le serveur est ddi, des incidents comme ceux dcrits ou dautres similaires, peuvent avoir
un impact sur la disponibilit ou limage de marque dautres clients, sils sont lorigine, par
exemple, dune indisponibilit dlments partags (routeurs, systmes de sauvegarde, etc) Il
convient donc de prendre en compte lventualit des rclamations venant dautres clients.
En tout tat de cause, le test dintrusion ralis sur un site hberg ne peut se faire que dans uncadre tripartite avec des autorisations explicites et dlimitations des responsabilits prenant en
compte la responsabilit civile de chaque acteur face chaque type dincident.
Tests dintrusion - 10 - CLUSIF 2004
7/25/2019 Test Intrusion
14/16
7 GLOSSAIRE
Attaque Informatique Ralisation dune menace sur un systme dinformation.
Audit de Scurit SI Vrification de la conformit dun systme dinformation ou dune
application par rapport sa Politique de Scurit et ltat de lart.
Audit de vulnrabilit Vrification des vulnrabilits dun ou des systmes par rapport aux
vulnrabilits connues (par les Certs et les diteurs). Cette vrification peut
tre faite directement sur le systme (en boite blanche ) ou par des
automates externes (voir test de vulnrabilit).
Les audits internes de vulnrabilit peuvent tre automatiss par des
systmes de matrise de la vulnrabilit qui installent des agents de contrle
sur les diffrents systmes et remontent des tats de vulnrabilit selon
les gravits et priorits tablies par le propritaire du SI.
Les diteurs de ce type de logiciel ont tendance appeler cette
paramtrisation une politique de la scurit du SI , ce qui est pour le
moins abusif et rducteur.
Backdoor Porte drobe. Programme introduit dans un systme ou une application
permettant l'ouverture d'accs privilgis au systme en passant outre les
systmes d'authentification rglementaires. Les pirates utilisent ces "portes
par derrire" aprs s'tre introduit sur une machine dans le seul but d'y
retourner plus facilement les fois suivantes.
CERT (Central Emergency
Response Team)
Structure mutualise qui reoit et traite les alertes en matire de scurit
informatique. Le plus important est le Cert central amricain (cert.org). EnFrance, existent plusieurs Cert privs ou publics : CertA (Administration),
CertIST , Cert Renater, etc.
Cheval de Troie Programme introduit illicitement dans un systme afin de fournir une entre
dans ce systme. Nom tir de la mythologie grecque lpoque dUlysse.
Cible dvaluation (target
of evaluation, TOE)
Systme dinformation ou produit qui est soumis une valuation de la
scurit (ISO15408).
Cible de scurit (security
target)
Spcification de la scurit qui est exige dune cible dvaluation et qui sert
de base pour lvaluation. La cible de scurit doit spcifier les fonctions
ddies la scurit de la cible dvaluation, les objectifs de scurit, les
menaces qui psent sur ces objectifs ainsi que les mcanismes de scurit
particuliers qui seront employs.
Dni de service (DoS) Attaque qui, par des voies diverses, vise empcher un serveur ou un rseau
de serveurs continuer de rendre son service.
Dtection dintrusion Mcanisme visant dtecter les tentatives de corruption de la scurit dun
rseau ou dun systme.
Filtrage des URL Technique permettant laccs ou non dune requte HTTP un serveur selon
les caractristiques de lURL demande et dune liste des URL autorises.
Filtrage IP Technique permettant laccs ou non dune trame un rseau selon les
Tests dintrusion - 11 - CLUSIF 2004
7/25/2019 Test Intrusion
15/16
valeurs des adresses IP source et destination.
Gravit du risque La gravit du risque exprime et la potentialit quil a de se raliser et
limportance de ses consquences (Mthode MEHARI).
IDS (Intrusion Detection
System)
Outil ou programme ralisant la dtection des intrusions informatiques.
Imputabilit/Traabilit Qualit dun systme dinformation permettant de retrouver le responsable
dune action sur une information.
On retrouve cette qualit aussi sous le nom de traabilit des actions
puisquelle sappuie sur des traces informatiques.
Ingnierie Sociale (Social
Engineering)
Risque d'intrusion partir d'un ensemble dinformations obtenues sur la
victime potentielle puis partir delle.
Mascarade dadresse
(address spoofing)
Usurpation dune adresse autorise dans les accs un systme du rseau de
la part dun dispositif ou dun utilisateur ne devant pas avoir cette adresse.
Mcanismes de scurit
(security mechanism)
Logique ou algorithme qui implmente par matriel ou logiciel une fonction
particulire ddie ou contribuant la scurit.
Menace (threat) Action ou vnement susceptible de porter prjudice la scurit.
Mesures dissuasives Mesures qui ont pour objet de dcourager les agresseurs humains de mettre
excution une menace potentielle. Pour tre efficaces, elles doivent reposer
sur une bonne connaissance des techniques et capacits des agresseurs
humains redouts (Mthode MEHARI).
Mesures palliatives Mesures destines minimiser les consquences, au niveau de lactivit ou
de lentreprise, des dtriorations dues un sinistre (MthodeMEHARI).
Mesures prventives Mesures dont le rle de barrire est dempcher quune menace natteigne
des ressources du systme dinformation (Mthode MEHARI).
Mesures de protection Mesures dont lobjet est de limiter lampleur des dtriorations ventuelles
consquences de lexcution dune menace (Mthode MEHARI).
Mesures structurelles Mesures dont lobjectif est de minimiser les vulnrabilits du systme
dinformation en agissant sur sa structure mme, au niveau de ses
composants (matriels, immatriels, humains) comme sur lorganisation et
les mthodes qui les rgissent. A ces mesures pourront tre ajoutes, titre
de complment si ce nest de validation, des actions de sensibilisation,
informationetformation (Mthode MEHARI).
Mesures de rcupration Mesures visant rduire le prjudice subi par transfert des pertes sur des
tiers, assurancesou par attribution de dommages et intrts conscutifs des
actions de justice (Mthode MEHARI).
Potentialit du risque La capacit pour un tel vnement adverse de se produire se traduit par la
notion de potentialit du risque (Mthode MEHARI).
Rpudiation Fait pour une personne ou une entit engage dans une communication denier avoir particip tout ou partie des changes.
Tests dintrusion - 12 - CLUSIF 2004
7/25/2019 Test Intrusion
16/16
Risque Le risque exprime le fait quune entit, action ou vnement, puisse
empcher de maintenir une situation ou datteindre un objectif dans les
conditions fixes, ou de satisfaire une finalit programme (Mthode
MEHARI).
Sinistre Informatique Consquence dune attaque russie sur un systme dinformation produisant
des pertes importantes (concept large incluant laccident).Sniffer Outil d'coute et visualisation de la structure des trames Ethernet qui
circulent sur un rseau. C'est un programme capable de lire les paquets
transitant sur un rseau et permettant de rcuprer login et mot de passe. Cet
outil, aussi appel analyseur de rseau, fait galement l'objet d'utilisation
malveillante par les pirates afin de rcuprer toutes les informations
confidentielles pouvant circuler en clair sur leur brin Ethernet (exemple: mot
de passe POP3).
Test dintrusion Batterie de tests, automatiss ou pas, excuts depuis lextrieur dun
Systme dInformation afin de dtecter la prsence de failles permettant la
pntration dun utilisateur ou agent non habilit dans le SI.
Test de vulnrabilit Batterie de tests, automatiss au pas, excuts depuis lextrieur dun
Systme dInformation afin de dtecter la prsence de vulnrabilits dans les
composants techniques du SI
Ver Programme qui peut s'auto-reproduire et se dplacer travers un rseau en
utilisant les mcanismes rseau, ils n'ont pas rellement besoin d'un support
physique ou logique (disque dur, programme hte, fichier ...) pour se
propager ; un ver est donc un virus rseau.
Virus Programmes qui se propagent de faon autonome par le biais de fichiers
excutables, de secteurs de dmarrage, ou de macro commandes. Un virus
est un petit programme, situ dans le corps d'un autre, qui, lorsqu'on
l'excute, se met dans la mmoire et excute les instructions que son auteur
lui a donnes. La dfinition d'un virus est: "tout programme d'ordinateur
capable d'infecter un autre programme d'ordinateur en le modifiant de faon
ce qu'il puisse son tour se reproduire".
Vulnrabilit
(vulnerability)
Faiblesse de la scurit dun systme.
Tests dintrusion - 13 - CLUSIF 2004